Исследователи обнаружили, что по номеру телефона можно было выяснить операционную систему. Meta** начала исправлять проблему.
Компания Meta (признана экстремистской и запрещена в России) начала устранять уязвимость в WhatsApp, позволявшую злоумышленникам определять операционную систему пользователя без его ведома.
Речь не идёт о прямом взломе, но атакующие могли собирать метаданные для выбора эффективного метода атаки в зависимости от используемой ОС.Исследователи выяснили, что для этого достаточно номера телефона жертвы. Пользователю не нужно было ничего нажимать или читать — он даже не догадывался об утечке данных. Проблема была связана с предсказуемыми идентификаторами ключей шифрования, которые WhatsApp присваивал устройствам.
Одним из первых на эту уязвимость указал Таль Беэри, технический директор компании Zengo. Он и его коллеги долгое время сообщали о ней в Meta**, но реакция последовала лишь недавно. Беэри заметил, что в версии для Android идентификаторы начали рандомизировать, что усложнило слежку.
Однако проблема решена не до конца. Исследователь отмечает, что отличить Android от iPhone всё ещё возможно, так как их системы присвоения идентификаторов различаются. Беэри назвал изменения первым шагом, но раскритиковал компанию за медлительность и отсутствие подробных пояснений пользователям.
В Meta не полностью согласны с такой оценкой. Там заявили, что определение ОС не считается критической уязвимостью, поскольку возможно во многих сервисах, а операционные системы сами часто раскрывают эти данные для удобства.
Кроме того, без серьёзных уязвимостей такая информация имеет малую ценность для хакеров, пишет Anti-Malware.
Свежие комментарии